3 cruciale dingen om te weten over de WannaCry Ransomware-aanval

Ransomware-aanvallen, WannaCry genaamd, waren gerapporteerd wereldwijd door Cyber-beveiligingsexperts op vrijdag en er zijn meerdere waarschuwingen gegeven om verhoogde beveiligingsmaatregelen op apparaten met een internetverbinding te impliceren, aangezien deze week een tweede golf van aanvallen wordt verwacht.




De ransomware-aanvallen - een tien jaar oude hacktruc - hebben Rusland, Oekraïne, Spanje, het VK en India zwaar getroffen.



Andere landen, waaronder de VS, Brazilië, China, onder andere uit Noord-Amerika, Latijns-Amerika, Europa en Azië zijn getroffen door de ransomware-aanval.

De ransomware codeert bestanden op een apparaat met de extensie '.wcry' en wordt gestart via een externe SMBv2-uitvoering (Server Message Block Version 2).

Lees ook: Wat is Ransomware en hoe hiertegen te beschermen? en Zijn smartphones kwetsbaar voor de WannaCry Ransomware-aanval?

Kaspersky Lab's Wereldwijd onderzoeks- en analyseteam gewezen dat 'niet-gepaarde Windows-computers die hun SMB-services blootleggen op afstand kunnen worden aangevallen' en 'deze kwetsbaarheid de belangrijkste factor lijkt te zijn die de uitbraak heeft veroorzaakt'.

Hacking-groep Shadow Brokers is naar verluidt verantwoordelijk voor het op 14 april beschikbaar stellen van de schadelijke software om deze aanval op internet uit te voeren.





Hoe wijdverspreid is de aanval?

De volledige impact van deze aanval is nog onbekend, omdat experts op het gebied van cyberbeveiliging verwachten dat extra aanvalsgolven meer systemen zullen treffen.

Volgens een rapport in de New York Times heeft de aanval de controle overgenomen over meer dan 200.000 computers in meer dan 150 landen.

Bedrijven en overheidsinstellingen, waaronder Russische ministeries, FedEx, Deutsche Bahn (Duitsland), Telefonica (Spanje), Renault (Frans), Qihoo (China) en de National Health Service van het Verenigd Koninkrijk zijn getroffen.

Spaans Computer Emergency Response Team (CCN-CERT) heeft ook opgeroepen tot een hoge alertheid in het land, omdat het zegt dat organisaties mogelijk zijn getroffen door de ransomware.

“De kwaadaardige WannaCrypt-software verspreidde zich snel wereldwijd en is afkomstig van de exploits die zijn gestolen van de NSA in de VS. Microsoft had een beveiligingsupdate uitgebracht om dit beveiligingslek te verhelpen, maar veel computers bleven wereldwijd ongecontroleerd ', Microsoft bepaald.

De volgende software is tot nu toe getroffen:

  • Windows Server 2008 voor 32-bits systemen
  • Windows Server 2008 voor 32-bits systemen servicepack 2
  • Windows Server 2008 voor Itanium-systemen
  • Windows Server 2008 voor Itanium-gebaseerde servicepack 2
  • Windows Server 2008 voor x64-systemen
  • Windows Server 2008 voor x64-gebaseerde servicepack 2
  • Windows Vista
  • Windows Vista-servicepack 1
  • Windows Vista-servicepack 2
  • Windows Vista x64-editie
  • Windows Vista x64 Edition-servicepack 1
  • Windows Vista x64 Edition-servicepack 2
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 en R2
  • Windows 10
  • Windows Server 2016




Hoe beïnvloedt het de systemen?

De malware codeert bestanden met Office-extensies, arhives, mediabestanden, e-maildatabases en e-mails, broncode en projectbestanden van ontwikkelaars, grafische en afbeeldingsbestanden en nog veel meer.

Bron: Kaspersky

Een decryptor-tool wordt ook geïnstalleerd samen met de malware die helpt bij het maken van de $ 300 waarde van het losgeld dat wordt gevraagd in Bitcoins, evenals het decoderen van de bestanden zodra de betaling is uitgevoerd.

Bron: Kaspersky

De decryptor-tool voert twee countdown-timers uit - een 3-daagse timer, waarna wordt aangegeven dat het losgeld zal toenemen en een 7-daagse timer die de resterende tijd aangeeft voordat de bestanden voor altijd verloren zijn.

Gezien het softwaretool de mogelijkheid heeft om de tekst in meerdere talen te vertalen, is het duidelijk dat de aanval wereldwijd gericht is.

Bron: Kaspersky

Om ervoor te zorgen dat de decryptor-tool door de gebruiker wordt gevonden, wijzigt de malware ook de achtergrond van de getroffen pc.

Bron: Kaspersky




Hoe veilig te blijven?

  • Zorg ervoor dat de database van uw antivirussoftware is bijgewerkt en uw systeem in realtime wordt beschermd en voer een scan uit.
  • Als de malware: Trojan.Win64.EquationDrug.gen wordt gedetecteerd, zorgt u ervoor dat deze in quarantaine wordt geplaatst en wordt verwijderd en start u het systeem opnieuw op.
  • Als je dat nog niet hebt gedaan, wordt het aanbevolen om de officiële patch van Microsoft te installeren - MS17-010 - die de SMB-kwetsbaarheid vermindert die tijdens de aanval wordt misbruikt.
  • U kunt ook de SMB op uw computer uitschakelen met deze gids door Microsoft.
  • Organisaties kunnen communicatiepoorten 137 en 138 UDP en poorten 139 en 445 TCP isoleren.




In de VS gevestigde systemen zijn per ongeluk beveiligd

Een 22-jarige Britse beveiligingsonderzoeker heeft per ongeluk de verspreiding van de malware naar netwerken in de VS stopgezet toen hij het kill-switchdomein van de malware kocht dat nog niet was geregistreerd.

Zodra de site live was, werd de aanval gestopt. Jij kunt lezen zijn volledige rapport hier over hoe hij de kill-schakelaar voor de malware heeft onthuld en uiteindelijk heeft uitgeschakeld.

Lees ook: Dit kritieke Android-beveiligingsfout blijft niet opgelost door Google.

“Er is al een andere variant van de ransomware die geen kill-schakelaar heeft, waardoor het moeilijk te bevatten is. Het is al begonnen met het infecteren van landen in Europa, ”zei Sharda Tickoo, technisch hoofd van Trend Micro India.

Het is nog steeds onduidelijk wie verantwoordelijk is voor de aanval en speculaties hebben gewezen op Shadow Brokers - die ook verantwoordelijk zijn voor het vrijgeven van de malware online - of meerdere hackorganisaties.

Bekijk hieronder de video van GT Hindi voor Wannacry / Wannacrypt Ransomware.